inspecionar cabeçalhos completos de e-mails de phishing pode conter algumas pistas. há poucas opções:
- as mensagens vieram do seu servidor e via postifx - então você deve conseguir encontrar as entradas correspondentes no log do postfix
- as mensagens vieram do seu servidor, mas não via postfix - talvez houvesse algum código rouge que implementasse o próprio remetente smtp ou talvez alguém tivesse confiado no tráfego ip através do seu servidor [pense no ssh tunnel]
- as mensagens nunca passaram da sua caixa [duvido que seja o caso, mas é possível sequestrar uma rota]